「ベネッセ情報漏洩事故最高裁判決にみる 情報セキュリティへの示唆」の記事

「ベネッセ情報漏洩事故最高裁判決にみる 情報セキュリティへの示唆」という記事がでています。

この記事のポイントは、最高裁判所は、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」と判断していると読んでいるところですね。でもって、どうも、この表現に違和感を感じたので、その違和感を考えてみました。

高裁の判決文が、私の手元にはないので(と最初は、書いたのですが、よく考えてみたら、NBL1109号 5ページにあります。)、


通常は、「行為」「結果」「因果関係」「責任(注意義務とその懈怠)」という各論点について論じられることになります。

(以下、修正加筆 1903  Dec.3 )NBLをみると、大阪高裁 平成28年6月29日は、「本件個人情報が控訴人のものであるか(争点(1)および本件漏えいによる控訴人の損害(争点(3))について」ということで判断しています。

原文では、「そのような不快感や不安を抱いただけでは、これを被侵害利益として、直ちに損害賠償求めることはできないと解するのが相当である。

本件においては、本件漏洩によって項訴人が迷惑行為を受けているとか、財産的な損害を被った名、上記の不快感や不安を超える損害を被ったことについて主張、立証はない。

したがって、項訴人が被控訴人似たいして損害賠償を求めることはできないというべきである」

以上によると、争点(2)について、判断するまでもなく、控訴人の請求は理由がない」

という判断です。

ここで、注目するのは、「争点(2)について、判断するまでもなく」というところです。NBLでは、争点(2)が書いていないのですが、流出が過失に因るのか、あたりかと思っています。

—加筆終了–

だとすると、最高裁のポイントは、「結果」について、具体的なプライバシ侵害の結果をみることなく、抽象的な漏洩の事実のみで、結果としていいよ(争点(3)は、認めていいよ)という判断をしたものになります。
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。」というのは、そのことをいいます。

ところで、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」という表現は、上の要件論でいえば、「責任(注意義務とその懈怠)」のところでの議論になります。

–加筆–

もし、争点(2)が、過失の判断であったとすると、実は、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか」という点については、判断が「足りていない」どころか、全くなされていないということになります。

—加筆終了–

しかしながら、本件は、「結果」についての主張・立証がされていないので、「責任(注意義務とその懈怠)」を論じるまでもない、として棄却している案件です。情報の管理レベルについて、という論点は、判断しないよとした案件になります。
「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」という表現は、「責任(注意義務とその懈怠)」まで、判断がたどり着いていることを前提とした表現に思えます。それが、最初に読んだときに違和感を感じた理由ですね。